Människor och företag måste skydda sina tillgångar med kryptografiska nycklar. Men de måste också skydda nycklarna. HSM kan vara svaret.
Cyberbrottslingar kan hittas överallt som riktar in sig på och attackerar varje mottaglig enhet, mjukvara eller system de möter. Detta har krävt individer och företag att vidta säkerhetsåtgärder på nästa nivå, som att använda kryptografiska nycklar, för att skydda sina IT-tillgångar.
Men att hantera kryptografiska nycklar, inklusive generering, lagring och granskning av dem, är ofta ett stort hinder för att säkra system. Den goda nyheten är att du säkert kan hantera kryptografiska nycklar med hjälp av en Hardware Security Module (HSM).
Vad är en hårdvarusäkerhetsmodul (HSM)?
En HSM är en fysisk datorenhet som skyddar och hanterar kryptografiska nycklar. Den har vanligtvis minst en säker kryptoprocessor, och den är vanligen tillgänglig som ett plugin-kort (SAM/SIM-kort) eller extern enhet som ansluts direkt till en dator eller nätverksserver.
HSM är specialbyggda för att skydda livscykeln för kryptografiska nycklar med hjälp av manipuleringssäkra, manipuleringssäkra hårdvarumoduler och skydda data via flera
tekniker, inklusive kryptering och dekryptering. De fungerar också som säkra lagringsplatser för kryptografiska nycklar som används för uppgifter som datakryptering, Digital Rights Management (DRM) och dokumentsignering.Hur fungerar hårdvarusäkerhetsmoduler?
HSM garanterar datasäkerhet genom att generera, säkra, distribuera, hantera, arkivera och kassera kryptografiska nycklar.
Under provisionering genereras unika nycklar, säkerhetskopieras och krypteras för lagring. Nycklarna distribueras sedan av auktoriserad personal som installerar dem i HSM, vilket möjliggör kontrollerad åtkomst.
HSM erbjuder hanteringsfunktioner för övervakning, kontroll och rotation av kryptografiska nycklar enligt industristandarder och organisationspolicyer. De senaste HSM: erna säkerställer till exempel efterlevnad genom att upprätthålla NIST: s rekommendation att använda RSA-nycklar på minst 2048 bitar.
När kryptografiska nycklar inte längre används aktivt, utlöses arkiveringsprocessen, och om nycklarna inte längre behövs, förstörs de säkert och permanent.
Arkivering innebär lagring av avvecklade nycklar offline, vilket möjliggör framtida hämtning av data krypterad med dessa nycklar.
Vad används hårdvarusäkerhetsmoduler till?
Det primära syftet med HSM är att säkra kryptografiska nycklar och tillhandahålla viktiga tjänster för att skydda identiteter, applikationer och transaktioner. HSM stöder flera anslutningsalternativ, inklusive att ansluta till en nätverksserver eller användas offline som fristående enheter.
HSM kan paketeras som smartkort, PCI-kort, diskreta apparater eller en molntjänst som kallas HSM as a Service (HSMaaS). Inom bankväsendet används HSM i bankomater, EFT och PoS-system, för att nämna några.
HSM: er skyddar många vardagliga tjänster, inklusive kreditkortsdata och PIN-koder, medicinsk utrustning, nationella identitetskort och pass, smarta mätare och kryptovalutor.
Typer av hårdvarusäkerhetsmoduler
HSM finns i två huvudkategorier, som var och en erbjuder distinkta skyddsfunktioner som är skräddarsydda för specifika branscher. Här är de olika typerna av HSM som finns tillgängliga.
1. HSM för allmänna ändamål
Allmänna HSM: er har flera krypteringsalgoritmer, inklusive symmetriska, asymmetriska, och hash-funktioner. Dessa mest populära HSM är mest kända för sin exceptionella prestanda när det gäller att skydda känsliga datatyper, såsom kryptoplånböcker och infrastruktur för offentliga nyckel.
HSM hanterar många kryptografiska operationer och används ofta i PKI, SSL/TLS och allmänt känsligt dataskydd. På grund av detta används vanligen HSM: er för att hjälpa till att uppfylla allmänna industristandarder som HIPAA-säkerhetskrav och FIPS-efterlevnad.
Allmänna HSM: er stöder också API-anslutning med Java Cryptography Architecture (JCA), Java Cryptography Extension (JCE), Cryptography API Next Generation (CNG), Public-Key Cryptography Standard (PKCS) #11 och Microsoft Cryptographic Application Programming Interface (CAPI), som gör det möjligt för användare att välja det ramverk som bäst passar deras kryptografiska operationer.
2. HSM för betalning och transaktioner
HSM för betalningar och transaktioner var speciellt utformade för finansbranschen för att skydda känslig betalningsinformation, som kreditkortsnummer. Dessa HSM stöder betalningsprotokoll, som APACS, samtidigt som de upprätthåller flera branschspecifika standarder, såsom EMV och PCI HSM, för efterlevnad.
HSM lägger till ett extra lager av skydd till betalningssystem genom att säkra känsliga uppgifter under överföring och lagring. Detta har lett till att finansiella institutioner, inklusive banker och betalningsprocessorer, har antagit det som en integrerad lösning för att säkerställa säker hantering av betalningar och transaktioner.
Nyckelegenskaper hos hårdvarusäkerhetsmoduler
HSM: er fungerar som kritiska komponenter för att säkerställa efterlevnad av cybersäkerhetsbestämmelser, förbättra datasäkerheten och upprätthålla optimala servicenivåer. Här är nyckelfunktionerna hos HSM som hjälper dem att uppnå detta.
1. manipuleringsmotstånd
Det primära målet med att göra HSM: s manipuleringssäkra är att skydda dina kryptografiska nycklar i händelse av en fysisk attack mot HSM.
Enligt FIPS 140-2 måste en HSM inkludera manipuleringssäkra sigill för att kvalificera sig för certifiering som en nivå 2 (eller högre) enhet. Varje försök att manipulera med HSM, som att ta bort en ProtectServer PCIe 2 från dess PCIe-buss, kommer att utlösa en manipuleringshändelse som raderar allt kryptografiskt material, konfigurationsinställningar och användardata.
2. Säker design
HSM är utrustade med unik hårdvara som uppfyller kraven som ställs av PCI DSS och överensstämmer med olika statliga standarder, inklusive Common Criteria och FIPS 140-2.
Majoriteten av HSM är certifierade på olika FIPS 140-2-nivåer, mestadels på nivå 3-certifiering. De utvalda HSM: erna certifierade på nivå 4, den högsta nivån, är en utmärkt lösning för organisationer som söker skydd på toppnivå.
3. Autentisering och åtkomstkontroll
HSM fungerar som grindvakter, kontrollera åtkomst till enheter och data de skyddar. Detta är uppenbart genom deras förmåga att övervaka HSM aktivt för manipulering och reagera effektivt.
Om manipulering upptäcks kommer vissa HSM: er antingen sluta fungera eller radera kryptografiska nycklar för att förhindra obehörig åtkomst. För att ytterligare förbättra säkerheten använder HSM: er starka autentiseringsmetoder som multifaktorautentisering och strikta policyer för åtkomstkontroll som begränsar åtkomst till auktoriserade personer.
4. Efterlevnad och revision
För att upprätthålla efterlevnad måste HSM: er följa olika standarder och föreskrifter. De viktigaste inkluderar Europeiska unionens allmänna dataskyddsförordning (GDPR), Domain Name System Security Extensions (DNSSEC), PCI Data Security Standard, Common Criteria och FIPS 140-2.
Efterlevnad av standarder och förordningar säkerställer data- och integritetsskydd, DNS-infrastruktursäkerhet, säker betalkortstransaktioner, internationellt erkända säkerhetskriterier och efterlevnad av statlig kryptering standarder.
HSM inkluderar också loggning och revisionsfunktioner, vilket möjliggör övervakning och spårning av kryptografiska operationer för efterlevnadsändamål.
5. Integration och API: er
HSM: er stöder populära API: er, som CNG och PKCS #11, vilket gör att utvecklare sömlöst kan integrera HSM-funktionalitet i sina applikationer. De är också kompatibla med flera andra API: er, inklusive JCA, JCE och Microsoft CAPI.
Skydda dina kryptografiska nycklar
HSM ger några av de högsta säkerhetsnivåerna bland fysiska enheter. Deras förmåga att generera kryptografiska nycklar, lagra dem säkert och skydda databehandling gör dem till en idealisk lösning för alla som söker förbättrad datasäkerhet.
HSM inkluderar funktioner som en säker design, manipuleringsmotstånd och detaljerade åtkomstloggar, vilket gör dem till en värdefull investering för att stärka säkerheten för viktiga kryptografiska data.
